9
Sporadische DNS Fehler
Moin 
Wir haben ab und zu DNS Fehler in unserem Netzwerk. Ich denke dies könnte so rund um den Austausch der Firewall (neu eine Sophos XG) angefangen haben, sicher bin ich aber nicht.
Und zwar erhalten die Benutzer vor den Workstations dann diesen Fehler in Google Chrome
"DNS_PROBE_FINISHED_BAD_CONFIG"
Hier ist unser Aufbau für DNS Requests:
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
IPS und DoS Protection sind zu Testzwecken auch ausgeschaltet.
Hat jemand noch eine Idee?
Ich arbeite noch nicht extrem lange mit der Sophos XG, daher bin ich nicht sicher ob ich evtl. etwas Sophos-spezifisches übersehen habe.
Könnte aber auch sonst etwas ganz anderes sein.
Ich bin auf jeden Fall froh für Ideen oder Hinweise.
LG
Wir haben ab und zu DNS Fehler in unserem Netzwerk. Ich denke dies könnte so rund um den Austausch der Firewall (neu eine Sophos XG) angefangen haben, sicher bin ich aber nicht.
Und zwar erhalten die Benutzer vor den Workstations dann diesen Fehler in Google Chrome
"DNS_PROBE_FINISHED_BAD_CONFIG"
Hier ist unser Aufbau für DNS Requests:
- Der DHCP verteilt den Clients den DNS-Server, dieser ist 192.168.2.2 (unser AD, inkl. interner DNS-Server)
- DNS-Requests werden also von den Clients an 192.168.2.2 gestellt
- Der interne DNS-Server versucht also den DNS-Request aufzulösen
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
- Wohin die dann weitergegeben werden , sind an die definierten DNS-Forwarder, diese sind in unserem Fall momentan auf 8.8.8.8 und 8.8.4.4
Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
| Action | Source Zones | Source Networks and Devices | Destination Zones | Destination Networks | Services |
|---|---|---|---|---|---|
| Accept | LAN | * | WAN | * | * |
IPS und DoS Protection sind zu Testzwecken auch ausgeschaltet.
Hat jemand noch eine Idee?
Ich arbeite noch nicht extrem lange mit der Sophos XG, daher bin ich nicht sicher ob ich evtl. etwas Sophos-spezifisches übersehen habe.
Könnte aber auch sonst etwas ganz anderes sein.
Ich bin auf jeden Fall froh für Ideen oder Hinweise.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392771
Url: https://administrator.de/contentid/392771
Ausgedruckt am: 19.11.2024 um 02:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
ist der Fehler reproduzierbar oder löst er sich bei Relaod der Seite auf?
Kannst Du mit nslookup den Namen auflösen?
Sind andere Browser auch betroffen?
Gruss
ist der Fehler reproduzierbar oder löst er sich bei Relaod der Seite auf?
Kannst Du mit nslookup den Namen auflösen?
Sind andere Browser auch betroffen?
Gruss
Er ist leider nicht reproduzierbar. Weder zeitlich, noch von der besuchten Webseite, alles variiert. Zum Teil verschwindet der Fehler beim reload, zum Teil braucht es mehrere Reloads (bis zu 5-10 Minuten)
Kannst Du mit nslookup den Namen auflösen?
Gute Idee, probiere ich mal.Sind andere Browser auch betroffen?
Ich meinte Edge auch, aber muss dis noch sicher abklären.
Hi
Hast du es mal probiert eher den ISP DNS im Forwarder zu nutzen ?
Mit freundlichen Grüßen
Hier ist unser Aufbau für DNS Requests:
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
- Der DHCP verteilt den Clients den DNS-Server, dieser ist 192.168.2.2 (unser AD, inkl. interner DNS-Server)
- DNS-Requests werden also von den Clients an 192.168.2.2 gestellt
- Der interne DNS-Server versucht also den DNS-Request aufzulösen
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
- Wohin die dann weitergegeben werden , sind an die definierten DNS-Forwarder, diese sind in unserem Fall momentan auf 8.8.8.8 und 8.8.4.4
Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
| Action | Source Zones | Source Networks and Devices | Destination Zones | Destination Networks | Services |
|---|---|---|---|---|---|
| Accept | LAN | * | WAN | * | * |
Hast du es mal probiert eher den ISP DNS im Forwarder zu nutzen ?
Mit freundlichen Grüßen
Hi,
etwas ähnliches haben wir im Moment auch, aber wir haben keine Sophos.
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Wir haben die Provider DNS-Server drin.
In der Ereignisanzeige steht nichts, und die Smartphones im Gäste-WLAN können im gleichem Moment über die externen DNS-Server auflösen.
Das einzige gleiche was ich sehe ist der Windows DNS-dienst ....
Auch ein nslookup bekommt dann keine Auflösung hin, und das Ganze ist absolut sporadisch.
VG,
Deepsys
etwas ähnliches haben wir im Moment auch, aber wir haben keine Sophos.
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Wir haben die Provider DNS-Server drin.
In der Ereignisanzeige steht nichts, und die Smartphones im Gäste-WLAN können im gleichem Moment über die externen DNS-Server auflösen.
Das einzige gleiche was ich sehe ist der Windows DNS-dienst ....
Auch ein nslookup bekommt dann keine Auflösung hin, und das Ganze ist absolut sporadisch.
VG,
Deepsys
Die Tests bzgl. nslookup und anderer Browser beginenn ab Morgen, ich habe die user entsprechend instruiert.
Ich werde hier die Ergebnisse mitteilen sobald ich was habe.
Ja, probiert hab ich schon den DNS des ISPs, 8.8.8.8, 8.8.4.4, 1.1.1.1, 1.1.4.4, 9.9.9.9
Überall das gleiche.
Könnte natürlich auch nur ein Zufall sein, dass dies irgendwann um den Tausch zu Sophos begonnen hat.
Wie verhält sich das bei dir?
Ich werde hier die Ergebnisse mitteilen sobald ich was habe.
Ja, probiert hab ich schon den DNS des ISPs, 8.8.8.8, 8.8.4.4, 1.1.1.1, 1.1.4.4, 9.9.9.9
Überall das gleiche.
Könnte natürlich auch nur ein Zufall sein, dass dies irgendwann um den Tausch zu Sophos begonnen hat.
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Gut, werde ich dann auch probieren, danke für die Idee!Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Wir haben die Provider DNS-Server drin.
Bei uns auch als die Probleme begonnen haben, habe mittlerweile aber wie oben beschrieben schon ein paar DNS-Server probiert.In der Ereignisanzeige steht nichts, und die Smartphones im Gäste-WLAN können im gleichem Moment über die externen DNS-Server auflösen.
Bei uns ist es auch so, dass wenn ich auf einem Client direkt einen externen DNS (z.B. Google) eintrage es sofort wieder klappt.Wie verhält sich das bei dir?
Das einzige gleiche was ich sehe ist der Windows DNS-dienst ....
Blitzgedanke: Windows und seine tollen Updates
So, kurzer Zwischenbericht:
Wenn ein Problem auftritt, dann klappt auch eine Auflösung mittels nslookup nicht mehr. (Nur wenn ich nslookup einen spezifischen DNS Server mitgebe, z.B. 8.8.8.8, dann klappt es)
Auch in einem anderen Browser klappt es nicht.
@Deepsys
Gibt es bei dir etwas neues bezüglich diesem Problem?
Wenn ein Problem auftritt, dann klappt auch eine Auflösung mittels nslookup nicht mehr. (Nur wenn ich nslookup einen spezifischen DNS Server mitgebe, z.B. 8.8.8.8, dann klappt es)
Auch in einem anderen Browser klappt es nicht.
Zitat von @Deepsys:
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Ich werde dies mal anschauen als nächstes.Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
@Deepsys
Gibt es bei dir etwas neues bezüglich diesem Problem?
Also ein Neustart des DNS Servers (inkl. paar Sekunden nach dem der Dienst wieder läuft warten) hilft bei mir auch temporär.
Was hast du für einen Version wenn ich fragen darf @Deepsys ? Windows Server 2012 R2?
Ich blicke echt nicht mehr durch.
Was hast du für einen Version wenn ich fragen darf @Deepsys ? Windows Server 2012 R2?
Ich blicke echt nicht mehr durch.
Hi,
im Moment ist es ruhig, kein Problem mehr.
Und ja, auch ein 2012R2 ....
im Moment ist es ruhig, kein Problem mehr.
Und ja, auch ein 2012R2 ....
Hallo
habt Ihr nach rund zwei Jahren eine Lösung für diese Problem?
Bei uns tritt der Fehler auch nach dem wechsel der Firewall (SG zu Sophos XG) auf.
Bei uns leitet jedoch der Interne DNS-Server (AD) zur Sophos weiter und erst die Sophos zu den vom ISP.
Wäre schön wenn Ihr mir helfen könntet. Achso ja auch 2012R2
Grüße
habt Ihr nach rund zwei Jahren eine Lösung für diese Problem?
Bei uns tritt der Fehler auch nach dem wechsel der Firewall (SG zu Sophos XG) auf.
Bei uns leitet jedoch der Interne DNS-Server (AD) zur Sophos weiter und erst die Sophos zu den vom ISP.
Wäre schön wenn Ihr mir helfen könntet. Achso ja auch 2012R2
Grüße
